Le framework ATT&CK (Adversarial Tactics, Techniques, and Common Knowledge) du MITRE fait de plus en plus parler de lui dans le monde des modèles de description d'attaques. Focalisé sur la description des tactiques et techniques « post compromission », il offre des clés pour monter ou faire évoluer des programmes de protection, de détection et de réaction. Cet article se propose de présenter ATT&CK ainsi que ses applications possibles dans des contextes opérationnels type CERT/SOC/CSIRT.
Outre son focus sur les activités « post compromission », le framework ATT&CK du MITRE [MATRIX], une organisation américaine à but non lucratif gérant des centres de R&D financés par des fonds fédéraux, se distingue des autres modèles de description d'attaque par une approche descriptive systématique, basée sur une étude continue des attaques et non orientée sur les outils, mais sur les méthodes. À ce titre, on peut le classer dans la catégorie de la threat intelligence tactique.
Cet article présentera le framework ainsi que quelques usages concrets, notamment dans le cadre de la détection et de la réponse à incidents.
1. ATT&CK et outils associés
ATT&CK est une base de connaissance de comportements d'attaque. Il s'appuie sur l'étude d'exemples concrets, issus d'analyses publiques d'attaques, et référence, entre autres, des outils et groupes spécifiques. Il est conçu sur les principes suivants :
- inclure la détection post-compromission à...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première